Google stellte erst vor ein paar Tagen ein neues Add-on für Chrome vor – eine Passwort-Warnung für den Chrome Browser. Er soll den Benutzer warnen, wenn ein User sein Google-Passwort in einem anderen Dienst im Internet verwendet und in den Browser eingibt. Speziell sollte dies Phishing-Angriffe vereiteln, die die Passwörter stehlen.

Nun handelt es sich ja um eine gute Angewohnheit und zeugt von Sicherheitsbewusstsein für Passwörter, wenn Internetnutzer ein Passwort nicht „recyclen“ bzw. mehrfach verwenden. Dabei könnte das Add-on für den Google Chrome-Browser durchaus behilflich sein.

Jedoch wurde bereits einen Tag nach der Veröffentlichung in einem Video von dem Sicherheitsforscher Paul Moore gezeigt, wie diese Sicherheitsvorkehrung mit 7 Zeilen Programmcode überlistet werden kann. Der Code zeigt ein einfaches JavaScript, das die „Sicherheitsvorkehrung“ umgeht. Dieser Code muss auf der Webseite eingebaut werden.

Paul Moore:

„Kurz gesagt, jeder der einen Phishing-Angriff auf ein Google-Konto plant, muss nur diesen Siebenzeiler in seiner Seite einbauen, um die Vorkehrung zu umgehen.“

In seinen Code-Schnipsel fügte Paul Moore auch den Kommentar ein „SORRY DREW!“. Drew Hintz oder auch Andrew Hintz ist Security Engineer bei Google. Man kann nur hoffen, dass dies ein einmaliger Ausrutscher des Security Engineers von Google war.

Artikel von cnet.com, 01.05.2015: Google patches Password Alert after flaw exposed
Artikel von arstechnica.com, 01.05.2015: Google’s new version of Password Alert blocking bypass is bypassed